ENSIA audit

Heldere ENSIA-audit zonder verrassingen

ENSIA in het kort

ENSIA staat voor Eenduidige Normatiek Single Information Audit. Het is het landelijke kader waarmee gemeenten verantwoording afleggen over de manier waarop ze informatiebeveiliging organiseren. ENSIA koppelt drie belangrijke pijlers:

  • de BIO (Baseline Informatiebeveiliging Overheid), die de basis vormt voor beveiligingseisen;

  • de DigiD-norm, die jaarlijks controleert of systemen veilig omgaan met digitale identificatie;

  • de Suwinet-toetsing, gericht op veilige gegevensuitwisseling binnen de sociale zekerheid.

De resultaten worden vastgelegd in een collegeverklaring en een assurance-rapport (volgens ISAE 3000-standaard). Die documenten vormen samen de formele verantwoording richting toezichthouders zoals Logius en BKWI.

    Vertrouwd door:

    Benieuwd hoe wij je kunnen ontzorgen met je ENSIA Audit?

    Kennismaken
    Ervaring & expertise

    Onze auditors kennen de ENSIA- en BIO-kaders tot in detail.
    Pragmatiek

    We werken risicogebaseerd, zodat de audit zich richt op wat er echt toe doet.
    Voorkom valkuilen

    Vermijd veelgemaakte fouten en vertraging; wij zorgen dat u in één keer aan alle eisen voldoet.
    Hoge slagingskans

    3Grondige voorbereiding geeft u vertrouwen en optimale slagingskans. 

    Wat is nieuw in 2025 / 2026?

    1. DigiD-assurance: 3000A of 3000D

    De grootste wijziging is de introductie van de keuze tussen ISAE 3000A en ISAE 3000D.
    Bij 3000A toetst de auditor alleen of maatregelen bestaan; bij 3000D wordt ook gekeken of ze feitelijk werken.
    Volgens NOREA (2025) biedt 3000D meer zekerheid richting toezichthouders, maar vraagt het ook om meer voorbereidend bewijs en veldwerk.

    2. Suwinet: werkingscontroles

    Naast DigiD krijgt nu ook Suwinet extra aandacht.
    Voor de jaargang 2026 zijn zeven normen aangewezen waarop auditors de werking moeten toetsen — bijvoorbeeld autorisatiebeheer en logging.
    Deze uitbreiding zorgt voor een realistischer beeld van de beveiliging binnen sociale-zekerheidsprocessen.

    3. Aangescherpte planning en deadlines

    Volgens de VNG start de ENSIA-cyclus op 1 januari.
    De bestuurlijke behandeling en ondertekening door het college van B & W moeten uiterlijk 30 april 2026 plaatsvinden, waarna de documenten via de ENSIA-tool worden ingediend.
    Een heldere interne planning voorkomt knelpunten tussen audit, bestuur en ICT.

    Wat komt er kijken bij een ENSIA ?

    ISO 27001 implementeren betekent dat je een Information Security Management System (ISMS) opzet. Dat klinkt ingewikkeld, maar betekent in de praktijk vooral dat je duidelijke regels opstelt rondom informatiebeveiliging en die regels ook toepast.

    De belangrijkste stappen zijn duidelijk afgebakend:

    1

    Scope & intake

    Het begint met het vaststellen van de reikwijdte: welke voorzieningen vallen onder de audit, bijvoorbeeld DigiD, Suwinet of beide?
    Tijdens de intake wordt bepaald welke assurance-route wordt gevolgd:

    - ISAE 3000A – gericht op opzet en bestaan van maatregelen;
    - ISAE 3000D – voegt toetsing van de werking toe.

    Deze keuze heeft gevolgen voor de diepgang van het onderzoek én de rapportage richting het college van B & W.

    2

    Zelfevaluatie & dossieropbouw

    Gemeenten vullen de ENSIA-zelfevaluatie in binnen de centrale ENSIA-tool van de VNG. Hierin worden vragenlijsten, toelichtingen en bewijsmateriaal vastgelegd.
    De ingevulde zelfevaluatie vormt de basis voor de auditor. Een goed dossier bevat o.a. beleid, autorisatie-overzichten, logging, en bewijs van uitgevoerde controles.

    3

    Veldwerk & beoordeling

    De auditor beoordeelt de maatregelen op opzet, bestaan en waar relevant op werking. Dat gebeurt via interviews, steekproeven en log-analyses.
    Voor DigiD zijn werkingscontroles verplicht, bijvoorbeeld of wachtwoordbeleid en autorisatie-processen ook werkelijk functioneren zoals bedoeld.

    4

    Bevindingen & bijsturing

    Alle uitkomsten worden besproken met de organisatie. Bevindingen krijgen een prioriteit, zodat verbeteracties vóór het bestuurlijke vaststellingsmoment kunnen worden afgerond.
    Veel gemeenten kiezen ervoor om die verbeteringen direct in het komende BIO-jaarplan op te nemen.

    5

    Collegeverklaring & assurance

    Na het veldwerk stelt de gemeente de collegeverklaring op. De auditor levert het bijbehorende assurancerapport aan, volgens ISAE 3000A of 3000D.
    Samen vormen deze documenten de formele verantwoording richting Logius, BKWI en andere toezichthouders.

    Vragen? 
    Neem contact op met Jurgen!

    Hulp nodig met implementatie?

    Risguard ondersteunt ook organisaties in de aanloop naar de ENSIA-audit.

    We helpen bij het in kaart brengen van de vereisten, het verzamelen van bewijsstukken en het juist invullen van de ENSIA-zelfevaluatie.

    Onze auditors weten waar tijdens de toetsing op wordt gelet en wat aantoonbaar moet zijn om de audit naar een gegaramdeerd succes te leiden.

    Dankzij onze ruime ervaring binnen de publieke sector kunnen we snel schakelen met de juiste afdelingen en zorgen we dat het traject efficiënt wordt voorbereid, met zo min mogelijk belasting voor de organisatie.

    Benieuwd naar de offerte?

    Neem dan direct contact op!

    Email
    contact@risguard.com

    Telefoon
    085 060 5121

    Linkedin